Программа создает уникальное имя файла и усекает любой существующий файл с таким именем перед записью в него. Хотя на первый взгляд этот способ может показаться рациональным, фактически им легко воспользоваться для атак. Если файл, который программа пытается создать, уже существует как символическая ссылка, то открытый запрос следует по такой ссылке и открывает произвольный указываемый файл. Первым примером эксплуатации в такой ситуации является создание символических ссылок в
/tmp
с использованием многих (или всех) возможных программных идентификаторов, указывающих на файл типа
/etc/passwd
. При запуске данной программы это приводит к перезаписыванию системного файла паролей, результатом чего становится атака отказа в обслуживании.
Еще более опасной является атака, при которой символические ссылки указывают на собственный файл взломщика (или когда в
/tmp
создаются нормальные файлы со всеми возможными именами).
При открытии файла целевой файл искажается, но во временной промежуток между открытием файла и выполнением программы атакующий (который все еще владеет файлом) может записать в него все, что угодно (добавление строки типа
chmod u+s /bin/sh
определенно будет полезным в основном сценарии, работающим как root!). Может показаться трудным точно угадать время, однако, режимы состязаний такого типа часто эксплуатируются, подвергая риску безопасность программы. Если программа была setuid, а не запущенная как root, то эксплуатация фактически становится еще легче, так как пользователь может передать
SIGSTOP
в программу сразу после открытия файла, а затем после эксплуатации этого режима состязаний послать
SIGCONT
.
Добавление
O_EXCL
в вызов
open
мешает
open
открывать файл, который является символической ссылкой, а также уже существующий файл. В данном случае также есть возможность простой атаки отказа в обслуживании, поскольку код выйдет из строя, если первое испробованное имя файла уже существует. Это легко исправить, разместив
open
в цикле, испытывающем различные имена файлов до тех пор, пока одно из них не подойдет.
Самым лучшим способом создания временных файлов является применение библиотечной функции
mkstemp
интерфейса POSIX, которая гарантирует, что файл создается соответствующим образом [164] .
164
Существует еще несколько библиотечных функций, имеющих дело с временными файлами, такие как
tmpnam
,
tempnam
,
mktemp
и
tmpfile
. К сожалению, их применение приносит небольшую пользу, поскольку они могут привести к возникновению состязаний в программах, которые невнимательно реализованы.
int mkstemp(char * template);
Параметр
template
— это имя файла, в котором последние шесть символов должны выглядеть как
"XXXXXX"
. Последняя часть заменяется номером, который позволяет имени файла стать уникальным в данной файловой системе. Такой подход предоставляет функции
mkstemp
возможность испытывать различные имена файлов до тех пор, пока одно из них не подойдет. Параметр
template
обновляется тем именем файла, которое использовалось (позволяя программе удалить файл), также возвращается файловый дескриптор, ссылающийся на временный файл. Если функция прерывает свою работу, возвращается значение
– 1
.
В более старых версиях библиотеки С системы Linux создавался файл с режимом 0666 (общедоступное чтение/запись) и в зависимости от umask программы приобретались соответствующие права на файл. В более новых версиях читать и записывать в файл разрешено только текущему пользователю, но поскольку POSIX не определяет такое поведение, неплохо явно установить umask процесса (077 — хороший выбор!) до вызова
mkstemp
.
Система Linux и некоторые другие операционные системы предлагают функцию
mkdtemp
для создания временных каталогов.
char * mkdtemp(char * template);
Параметр
template
работает так же, как и для
mkstemp
, за исключением того, что функция возвращает указатель на
template
при успешном завершении работы и
NULL
в случае неудачи.
Многие операционные системы, поддерживающие
mkdtemp
, также предоставляют программу
mktemp
, которая позволяет основным сценариям создавать временные файлы и каталоги в безопасном режиме.
С временными файлами связана еще одна проблема, которая не рассматривалась до сих пор. Они содержат режимы состязаний, добавляемые временными каталогами, которые постоянно хранятся в сетевых (особенно NFS) файловых системах, а также программами, которые регулярно удаляют старые файлы из этих каталогов. При повторном открытии временных файлов после их создания следует проявлять крайнюю осторожность. Более подробное описание этих и других проблем, связанных с временными файлами, можно найти в книге Давида Вилера Secure Programming for Linux and UNIX HOW TO . Если
вам необходимо реализовать один из таких моментов, возможно, лучше будет создавать временные файлы в домашнем каталоге текущего пользователя.
22.3.6. Режимы состязаний и обработчики сигналов
Всякий раз когда взломщик может заставить программу вести себя неправильно, появляется потенциальная возможность для злоумышленной эксплуатации. Ошибки, кажущиеся безобидными, вроде двукратного освобождения одной и той же порции памяти успешно использовались злоумышленниками в прошлом, что еще раз указывает на необходимость быть очень внимательным при создании привилегированных программ.
Режимы состязаний и обработчики сигналов, которые легко могут стать причиной возникновения режима состязаний, являются щедрым источником программных ошибок. Самые общие ошибки при написании обработчиков сигналов описаны ниже.
• Выполнение динамического распределения памяти. Функции распределения памяти не являются реентерабельными и не должны применяться в обработчиках сигналов.
• Применение каких-либо функций, кроме перечисленных в табл. 12.2, всегда приводит к ошибке. Программы, вызывающие такие функции, как
printf
, из обработчика сигналов, содержат режимы состязаний, поскольку
printf
имеет внутренние буферы и не является реентерабельной.
• Неправильное блокирование остальных сигналов. Большинство обработчиков сигналов не являются реентерабельными, однако, довольно часто в обработчиках, управляющих несколькими сигналами, не блокируются автоматически остальные сигналы. Применение
sigaction
помогает исправить ситуацию (если программист старательный).
• Неблокирование сигналов в тех областях кода, модифицирующих переменные, к которым обработчик сигналов также имеет доступ. (Такие зоны часто называются критическими областями.)
В то время как режимы состязаний, порожденные сигналами, могут показаться не опасными, сетевые коды, setuid- и setgid-программы могут использовать сигналы, посылаемые ненадежными пользователями. Передача экстренных данных в программу может стать причиной отправки
SIGURG
, в то время как setuid- и setgid-программы могут принимать сигналы от пользователя, который запускает их, при этом фактические универсальные имена данных процессов не изменяются. Даже если эти программы изменяют свои действительные имена для предупреждения передачи сигналов, при закрытии пользователем терминала все программы, использующие этот терминал, посылают
SIGHUP
.
22.3.7. Закрытие файловых дескрипторов
В системах Linux и Unix файловые дескрипторы, как правило, наследуются через системные вызовы
exec
(и всегда наследуются через
fork
и
vfork
). В большинстве случаев такое поведение нежелательно, поскольку только разделяться должны только stdin, stdout и stderr. Программы, запускаемые привилегированным процессом, не должны иметь доступа к файлам через унаследованный файловый дескриптор. Поэтому очень важно, чтобы программы внимательно закрывали все файловые дескрипторы, к которым не должна получить доступ новая программа. Это может стать проблемой, если ваша программа вызывает библиотечные функции, которые открывают файлы и не закрывают их. Одним из методов закрытия файловых дескрипторов является закрытие всех файловых дескрипторов вслепую из дескриптора номер 3 (тот, который следует сразу за stderr) произвольным большим значением (скажем, 100 или 1024) [165] . В большинстве программ это обеспечивает закрытие всех надлежащих файловых дескрипторов [166] .
165
Система Linux позволяет программам открывать очень большое количество файлов. Процессы, работающие как root, могут одновременно открывать сотни файлов, однако большинство дистрибутивов устанавливают предел ресурсов на количество файлов, который может открывать пользовательский процесс. Этот предел также ограничивает максимальный файловый дескриптор, который можно использовать, с помощью метода
dup2
, тем самым, предоставляя удобный верхний предел для закрывающего файлового дескриптора.
166
Еще одним способом закрытия всех файлов, открытых программой, является прохождение через каталог файловой системы процесса
/proc
, в котором перечислены все открытые файлы, и закрытие каждого из них. Каталог
/proc/PID/fd
(где
PID
—это pid текущего процесса) содержит символическую ссылку для каждого файлового дескриптора, открытого процессом. Имя каждой символической ссылки представляет собой файловый дескриптор, которому она соответствует. Считывая содержимое каталога, программа легко может закрыть все файловые дескрипторы, которые больше не нужны.